仅需500美元，你也可以完成一次51%双花攻击

　　欢迎关注“创事记”的微信订阅号：sinachuangshiji

　　文/0x14

　　想攻击市值90多亿人民币的ETC嘛？只需要16100美元，这条区块链就可以任你摆布，为所欲为。

　　被这么低的价格震惊到了？准确来说是16100美元就可以租借足够发动51%双花攻击的算力一小时。

　　截至发稿，有71种数字加密货币可以通过租借算力来控制区块链进行双花攻击，其中你只需要500美金，就可以对64亿人民币市值的BCN发起一次51%算力的双花攻击。

　　上个月底，流通市值46亿、全球排名第29名的数字加密货币——比特币黄金（BTG）遭到地下矿工有预谋的双花攻击，据悉攻击者在本次双花攻击中总共获得 20.5万枚BTG，价值高达1.1亿元人民币。

　　双花攻击，了解一下？

　　简单介绍一下什么是BTG遇到的双花攻击，根据BTG团队的描述：

　　攻击者预先准备了8000个BTG与大量可用算力，将BTG充入交易所，随后调用自己手中的算力开始私自挖矿。

　　等充币成功之后，攻击者在交易所将BTG卖掉提款。但是在攻击者拥有的算力超过51%，可以对BTG区块链进行控制，攻击者的这条区块链变成BTG的新主链。

　　攻击者控制这条主链，排斥刚才自己往交易所充币的交易行为，使充币这个动作失效，8000BTG回到攻击者手中，但这时已经在交易所完成了套现。

　　攻击者在4天内重复进行了17次这样的攻击尝试，尝试‘双花’了20.5万个BTG。

　　简单来讲就是攻击者在交易所进行交易变现后，有预谋地控制算力来改写区块，使之前的区块链交易失效，但攻击者已经拿到现金走人。

　　比特币黄金的创始人廖翔在事件发生之后分析称：攻击者必须拥有绝对大量的算力才能进行攻击，算力的来源可能是矿机公司制造的ASIC矿机，也有可能是从算力市场租借的算力，当然也有可能是某个矿池的管理员的恶意攻击。

　　就在上周，ZenCash也遇到了同样的双花攻击，黑客通过控制算力改写区块，获得了1.96万枚ZEN代币，价值330万人民币。

　　数字加密货币双花攻击事件频发，不禁让区块律动Blockbeats开始深入追踪事件的起因。

　　直到我们发现其实市场上早就已经出现了可以为攻击者提供双花攻击工具：双花成本计算网站Crypto51和全网算力租借平台NiceHash。

　　*本文所列的数字加密货币在理论上是可以进行双花攻击的，但需要一定的技术来进行操作，本文讨论以攻击者意图不轨且具备相应技术为前提进行。

　　到目前为止，除了BTG和ZEN外均未遭到双花攻击。区块律动BlockBeats不推荐读者进行尝试操作，仅为提醒诸位之作！

　　Crypto51和Nicehash，他们能帮攻击者做什么？

　　Crypto51是一个追踪POW算法挖矿的数字加密货币并测算发起51%算力攻击理论成本的网站，其数据来源于目前全球最大的算力租借平台Nicehash，在这个平台上，只要肯出钱就能租到算力来做任何事情。

　　数据显示，你只需要2659美元就可以租借到能够实现1小时BTG区块链双花攻击的算力，在这一个小时里，你可以像上文提到的攻击者一样，充币到交易所，卖掉BTG，然后再用租到的算力来改写区块链。

　　除了BTG外，该网站还提供包括比特币、以太坊、比特币现金、莱特币、门罗币、达世币、以太经典、狗狗币等80多种数字加密货币的双花攻击算力成本测算。

　　这些提到的币，绝大部分都可以在主流交易所进行交易，一旦被黑客用来攻击，后果不堪设想。

　　此刻我们更好奇的是：

　　如果进行双花攻击，哪些币花的钱最多？

　　如果有足够的钱，双花攻击哪个币的性价比最高？

　　如果我有足够的技术，双花攻击真的每次都能获利嘛？

　　如果进行双花攻击，哪些币花的钱最多？

　　根据该网站信息显示，目前实施51%双花攻击成本最高的前十五名Token信息如下：

　　目前算力成本最高的算法是以比特币和比特币现金为代表的SHA-256算法，其次是以太坊领导的Ethash算法和莱特币所代表的Scrypt算法。

　　除去SHA-256、Ethash和Scrypt这三类主流算法的数字加密货币外，还有采用了CryptoNightV7算法的莱特币和X11算法的达世币。

　　不过，区块律动BlockBeats发现，并非表中所列的数字加密货币都可以被攻击，因为像比特币、比特币现金、以太坊等数字加密货币因为大量算力都被矿池占领。

　　矿池是不会在NiceHash上出租算力的，所以就导致即便你有钱想租借算力来进行双花攻击，也租不到足够的算力。

　　虽然比特币最值钱，但是你领到这个史诗级的任务，却发现没有史诗级的装备去通关。

　　那么去掉无法双花攻击的币种，还有哪些适合黑客下手双花攻击呢？哪些性价比高呢？

　　如果有足够的钱，双花攻击哪个币的性价比最高？

　　所谓双花攻击的性价比，指的是以最少的资金来获得最大的收益。

　　区块律动BlockBeats给这个双花攻击性价比自制了一个简单的公式来计算其性价比得分：

　　要想一次性赚到最多的钱，当然要从最值钱的币开始，于是区块律动BlockBeats对可以进行双花攻击的数字加密货币的市值进行了排名。

　　可以看到以太经典（ETC）赫然在列，它不仅市值达到了 94亿人民币，而且可以租到96%的算力来进行双花攻击。

　　再根据这一双花攻击性价比公式，双花攻击性价比最高的数字加密货币排名如下：

　　在性价比排名前10的数字加密货币中，有2个已经被攻击，剩下的还有市值 64亿的BCN、市值94亿的ETC、市值22.7亿的BTCP、以及市值11.9亿的MONA 等极具性价比的数字加密货币。

　　那么再让我们看看，如果攻击者想要双花攻击，交易所是否会为攻击者‘敞开大门’？

　　很显然，交易所可以为攻击者提供足够的场地来进行双花攻击的提现操作。其中ETC可以在67家交易所进行交易，BCN可以在6家交易所交易，BTCP可以在5家交易所交易，MONA可以在9家交易所交易。

　　攻击者如果真的控制了这些币的算力，可以进行双花的交易所，真的是太多太多了……

　　通过区块律动Blockbeats的整理，‘性价比极高’的BTCP、BCI和 ETC 三个token处于随时可能会被攻击的危险状态，我们随时都有可能会在第二天的早上，看到以上Token被双花攻击的新闻。

　　租售算力是否道德？

　　毫无疑问，无论是是Crypto51还是NiceHash，这两家网站都是无害的，尤其是NiceHash，它在区块链行业的萌芽阶段提供有效地支持，解决了不少项目算力缺失的问题，也让零散在全球的矿工可以通过自己的闲置算力赚到钱。

　　不道德是破坏共识机制的攻击者，这是犯罪。恶意攻击者，现在可以通过Crypto51看到可攻击目标，还可以通过NiceHash租到算力来实施犯罪。

　　其实crypto51的出现，并不能改变矿工可以通过NiceHash购买算力，来进行51%攻击的事实，反而是crypto51对各类Token成本信息的纰漏，更应引起部分‘高性价比’项目方对潜在双花攻击的重视。

　　当我们深入思考这个现象的时候，我们发现随着区块链技术的迭代升级，POW算法机制弊端开始显露，以EOS为代表的新型公链项目不再需要大量算力挖矿，整个区块链市场也在越来越多的转向了DPOS机制来追求中心化、安全和性能上的综合平衡。

　　这也就意味着，除了老牌的挖矿币之外，新的币将不再需要矿机支持，市场上被淘汰算力也将越来越多，可以在NiceHash上租到的算力也会越来越多。闲置算力越多，双花攻击的出现几率就越大。

　　面对双花攻击，我们该这么办？

　　因为惨遭双花攻击、损失惨重，BTG和ZEN团队都给出了相应后续预防办法。

　　在BTG遭到51%攻击后，BTG团队无法有效增加BTG全网算力，创始人廖翔对双花攻击的反制措施中提及：将计划改进BTG的Equihash算法来预防BTG网络的再次遭到攻击。

　　而ZenCash的团队在ZEN双花攻击发生一周后，也对外回复到：

　　我们发现，现在施行51%算力攻击既在技术上可行，而且在经济上也有利可图。成功与否依然是随机的，所以这是一场赌博；但只要有合理的成功率预测，我们就会目睹有源源不断的坏人出现。

　　随后，Zen的团队在对外的公告中，也给出了自己的三个解决方案：

　　1）每当网络上报告了平行区块时，需要区块哈希指针指向n>1个区块；

　　2）针对迟来的区块报告引入惩罚标准（包含一个补充选项，即根据惩罚标准动态地调节难度）；

　　3）使用我们的节点系统作为一种公证服务，有效地在当前的POW机制之上加入一层权益证明机制。

　　这些补救办法虽然可以在有效的时间内控制双花攻击，但是对于之前的损失，项目团队没有任何解决方法，双花攻击中受损的矿工也得不到有效的补偿。

　　而在双花攻击中，最倒霉的要数中心化的交易所。因为交易所采取的是数字记账式交易，用户充值的币都在交易所自己的账户中保存，这也就意味着当攻击者实行双花攻击的时候。

　　虽然是从市场交易中套现，交易对手买到了数字加密货币，但实际上支付款项的是交易所，而用户手中拿到的是记在账上的数字加密货币，当用户需要提币的时候，交易所不得不给用户非双花攻击的币。

　　就像上面的BTG，损失最大的是交易所，交易所要为充币交易被回滚承担损失，这就相当于攻击者通过双花攻击，可以轻轻松松地从交易所手里拿钱，而交易所对此却没有任何办法，没脾气。

　　实际上，并不是每一次双花攻击都能生效，部分交易所在出现某个币种的大额资金流入流出的时候，会采取预警或者限制交易的方法来进行干预，对涉事账户进行冻结处理，而且交易所交易的KYC也对攻击者进行限制。双花攻击属于互联网犯罪行为，交易所可以向警方报案。

　　但是如果黑客有足够的能力，搞到一批假的交易所账号，又有什么难度？而且即便无法提现，也可以通过砸盘来操作期货套利。

　　区块律动BlockBeats咨询了安全团队和矿池，他们都认为目前没有什么好的解决方法，所以我们的建议是尽可能远离这些容易被双花攻击的币，因为你也不知道明天早上醒来的时候，是否会此损失资产。

（声明：本文仅代表作者观点，不代表新浪网立场。）